選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

建立 IAM Access Analyzer 未使用的存取權分析器

PDF
RSS
焦點模式
建立 IAM Access Analyzer 未使用的存取權分析器 - AWS Identity and Access Management
為目前帳戶建立未使用的存取權分析器使用目前組織建立未使用的存取權分析器

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為目前帳戶建立未使用的存取權分析器

使用下列程序,為單一 AWS 帳戶建立未使用的存取權分析器。針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。

IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

  1. 開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. Access Analyzer 下,選擇分析器設定

  3. 選擇 Create analyzer (建立分析器)

  4. 分析區段中,選擇未使用的存取權分析

  5. 輸入分析器的名稱。

  6. 追蹤期間輸入要針對未使用的許可產生調查結果的天數。例如,如果您輸入 90 天,分析器就會針對分析器上次掃描後 90 天或更長時間內任何未使用的許可,為選定帳戶內的 IAM 實體產生調查結果。可選擇 1 到 365 天之間的值。

  7. 分析器詳細資訊區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。

  8. 針對分析範圍,選擇目前帳戶

    注意

    如果您的帳戶不是 AWS Organizations 管理帳戶或委派管理員帳戶,您只能使用您的帳戶建立一個分析器做為選取的帳戶。

  9. 選用。在排除具有標籤的 IAM 使用者和角色區段中,您可以為 IAM 使用者和角色指定索引鍵值對,以將其從未使用的存取權分析中排除。不會為符合索引鍵值對的已排除 IAM 使用者和角色產生調查結果。針對標籤索引鍵,輸入長度為 1 到 128 個字元,而且不以 aws: 開頭的值。對於,可以輸入長度為 0 到 256 個字元的值。如果您未輸入,則規則會套用至具有指定標籤索引鍵的所有主體。選擇新增排除,以新增要排除的其他索引鍵值對。

  10. 選用。新增您要套用至分析器的標籤。

  11. 選擇 Create analyzer (建立分析器)

建立未使用的存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。

使用目前組織建立未使用的存取權分析器

使用下列程序為組織建立未使用的存取分析器,以集中檢閱 AWS 帳戶 組織中的所有 。針對未使用的存取權分析,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。

IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

注意

如果從組織中移除成員帳戶,未使用的存取權分析器將在 24 小時後停止產生新的調查結果,並更新該帳戶的現有調查結果。與從組織中移除的成員帳戶相關聯的調查結果,將在 90 天後永久移除。

  1. 前往網址 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇 Access analyzer (存取分析器)

  3. 選擇分析器設定

  4. 選擇 Create analyzer (建立分析器)

  5. 分析區段中,選擇未使用的存取權分析

  6. 輸入分析器的名稱。

  7. 追蹤期間輸入要針對未使用的許可產生調查結果的天數。例如,如果您輸入 90 天,分析器就會針對分析器上次掃描後 90 天或更長時間內任何未使用的許可,為選定組織中所有帳戶的 IAM 實體產生調查結果。可選擇 1 到 365 天之間的值。

  8. 分析器詳細資訊區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。

  9. 針對分析範圍,選擇目前組織

  10. 選用。在 AWS 帳戶 從分析中排除區段 AWS 帳戶 中,您可以選擇組織中的 ,以從未使用的存取分析中排除。不會為排除的帳戶產生調查結果。

    1. 若要指定要排除的個別帳戶 ID,請選擇指定 AWS 帳戶 ID,然後在 AWS 帳戶 ID 欄位中輸入以逗號分隔的帳戶 ID。選擇排除。然後,帳戶會列在要排除的AWS 帳戶 資料表中。

    2. 若要從組織內的帳戶清單中選擇要排除的帳戶,請選擇從組織中選擇

      1. 您可以在從組織排除帳戶欄位中,依名稱、電子郵件和帳戶 ID 搜尋帳戶。

      2. 選擇階層依組織單位檢視您的帳戶,或選擇清單以檢視組織中所有個別帳戶的清單。

      3. 選擇排除所有目前帳戶以排除組織單位中的所有帳戶,或選擇排除以排除個別帳戶。

    然後,帳戶會列在要排除的AWS 帳戶 資料表中。

    注意

    排除的帳戶不能包含組織分析器擁有者帳戶。將新帳戶新增至您的組織時,不會將其排除在分析之外,即使您先前已排除組織單位中的所有目前帳戶。如需建立未使用的存取權分析器後排除帳戶的詳細資訊,請參閱管理 IAM Access Analyzer 未使用的存取權分析器

  11. 選用。在排除具有標籤的 IAM 使用者和角色區段中,您可以為 IAM 使用者和角色指定索引鍵值對,以將其從未使用的存取權分析中排除。不會為符合索引鍵值對的已排除 IAM 使用者和角色產生調查結果。針對標籤索引鍵,輸入長度為 1 到 128 個字元,而且不以 aws: 開頭的值。對於,可以輸入長度為 0 到 256 個字元的值。如果您未輸入,則規則會套用至具有指定標籤索引鍵的所有主體。選擇新增排除,以新增要排除的其他索引鍵值對。

  12. 選用。新增您要套用至分析器的標籤。

  13. 選擇 Create analyzer (建立分析器)

建立未使用的存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。

在本頁面

Related resources

AWS Identity and Access Management API 參考
AWS CLI 的 命令 AWS Identity and Access Management
SDK 與工具 

Related resources

AWS Identity and Access Management API 參考
AWS CLI 的 命令 AWS Identity and Access Management
SDK 與工具 
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。